Security Defense Business Review

View Original

Interview de Ram Levi, spécialiste en Cyberdéfense Et de Guy-philippe Goldstein, professeur à l’Ecole de Guerre Economique

SDBR : Le fait d’être qualifiée de « start-up nation » a-t-il favorisé le développement de la cybersécurité en Israël ?

Ram Levi*: Comme le pays dépend désormais de ses systèmes numériques, Israël est devenue une « start-up nation » du Cyber parce que l’impératif de sécurité y devient primordial. Cette nécessité désormais première signifie l’engagement plein et entier de toutes les parties prenantes sur les questions de cybersécurité, l’ensemble étant sous le leadership direct du Premier Ministre [Chef de l’exécutif dans le système parlementaire israélien]. Cette nouvelle priorité de sécurité a été identifiée par les membres de l’écosystème, mais le Premier Ministre a vraiment pris la tête de l’effort. Il faut le souligner : il y a eu une implication personnelle et cela représente quelque chose d’assez rare. Bien sûr, cette approche « Top-Down » n’a été possible que parce qu’il y avait des capacités « Bottom-Up » en Israël. Depuis le début des années 2000, le pays a fait naître de superbes capacités en termes de high-tech et le sujet a par la suite été identifié comme stratégique. En 2010, l’existence du maliciel Stuxnet [contre les centres d’enrichissement de l’uranium en Iran] a été rendu public. Nous savions ce qui était possible. Nous comprenions donc ce que l’on pouvait aussi nous faire. Et qu’il nous fallait désormais une nouvelle protection.

Guy-philippe Goldstein** : Le terme « Start-up Nation » vient de l’essai de Dan Senor et Saul Singer du Council of Foreign Relations, datant de 2009, qui évoquait la grande avancée d’Israël dans l’industrie des technologies de l’information. Le livre évoque d’abord le développement économique, et cela donne une clé de lecture. A la question de l’œuf et de la poule, à savoir quels facteurs ont le plus contribué au développement des industries cyber (la prise en compte du risque avec l’accroissement de la surface d’attaque ? La force locale d’un écosystème potentiellement dual ?) On pourrait répondre : l’un et l’autre, et c’est bien d’ailleurs la conjonction de ces deux facteurs qui permettent de faire émerger l’écosystème israélien (comme on le voit d’ailleurs, mais dans une mesure plus faible, en Estonie). Tout démarre vraiment au début des années 1990, avec l’essor des industries du numérique suite, en partie, à un nouveau programme de financement qui ouvre l’écosystème local aux fonds VC étrangers. On voit dans la foulée l’essor des premiers succès du cyber israélien, tels que l’éditeur antivirus Checkpoint, fondé en 1993 et qui entre trois ans plus tard au Nasdaq. Au niveau gouvernemental, il y a une prise de conscience dans la deuxième partie des années 1990 des nouveaux dangers du cyber pour les infrastructures civiles, à la même période d’ailleurs que les Américains. Puis, il y a dans les années 2000 la deuxième Intifada, qui est l’un des premiers exemples de cyber-guérilla, certes de très faible intensité mais qui souligne le début d’exposition des infrastructures numériques d’Israël ; et, d’un autre côté, les réussites continues de certaines unités militaires, telles que l’unité 8-200, et bien sûr la participation d’Israël à l’extraordinaire cyber-opération américaine « Olympic Games » contre les unités d’enrichissement de l’uranium en Iran[i], comme l’a rappelé Ram. Cet ensemble, à la fois de vulnérabilités et de réussites, converge au début des années 2010 vers la prise de conscience au plus haut niveau du gouvernement de l’importance stratégique du domaine pour Israël, ce qui va accélérer à nouveau le développement de l’écosystème. En même temps, en 2011, quand ces décisions sont prises, il y a déjà environ 150 startups de cybersécurité en activité en Israël[ii] – un chiffre toujours pas encore atteint en France 8 ans plus tard[iii]. Je suis donc parfaitement d’accord avec ce que dit Ram : on voit bien que c’est la convergence du focus au plus haut niveau de l’armée et de l’État, en même temps que l’existence d’un écosystème numérique déjà existant, qui ont permis le formidable essor des industries de la cybersécurité en Israël. Il fallait l’œuf ET la poule.

Quelle est la philosophie du gouvernement israélien en matière de cyberespace ?

Ram : En termes d’approche sur la cyberdéfense, nous n’avons pas une philosophie, mais une stratégie. Celle-ci se décline sur trois niveaux. Le premier niveau, c’est celui de la robustesse des systèmes tant techniques qu’humains et organisationnels. L’ensemble des activités et des marchés doivent atteindre certains niveaux d’hygiène de base en matière de cybersécurité. Un deuxième niveau est celui de la résilience. Sur cette dimension, le gouvernement doit travailler avec les institutions et organisations concernées en fonction des analyses de criticité afin d’améliorer la capacité de résilience. Tout ceci nécessite une implication proactive du gouvernement et des organisations concernées, accompagnée du développement des outils, de la connaissance et du savoir-faire nécessaires. Le troisième niveau est celui de la défense active. Il faut à nouveau être proactif, comme dans de nombreux sujets de sécurité. Un groupe terroriste doit être arrêté avant même qu’il n’entre dans un centre commercial. Dans le cyberespace, les capacités de l’État doivent être employées afin d’identifier et de stopper certains groupes de hackers à temps. Les capacités de renseignement et d’autres outils doivent être utilisés pour détruire ces capacités adverses. Il s’agit là d’un niveau de défense national pour l’action de l’État.

Guy-philippe : En termes de philosophie de développement de l’écosystème, il y a eu une réflexion d’organisation de cette nouvelle industrie autour de trois piliers : l’État (incluant les autorités militaires) ; le monde privé, qui permet la flexibilité et l’adaptation ; et enfin le monde universitaire – un aspect encore plus saillant dans le modèle israélien que, par exemple, aux Etats-Unis. La mise en musique de cette vision, c’est l’écosystème encore en construction à Beersheva, où l’on pourra trouver dans un rayon de 300 mètres ces trois pôles réunis en quelques minutes de marche. Il y a quelques éléments distinctifs importants de la vision israélienne et il est critique de les souligner. D’une part, lorsqu’on parle de monde privé, on parle d’abord et avant tout de startups, pas des grands champions nationaux à préserver, comme c’est malheureusement conçu dans certains pays aux traditions colbertistes non adaptées à l’Économie de réseau d’aujourd’hui. Pourquoi ? Parce que l’innovation de rupture a beaucoup plus de chance de se produire dans les petites équipes soudées, les startups, que dans les grands ensembles pilotés par comités. C’était déjà le cas du temps de l’aérospatial et des Skunk Works ; c’est encore plus évident dans le numérique. D’autre part, il y a bien là l’idée de développer non pas des pépites ou une technologie particulière, mais un écosystème, c’est-à-dire cette concentration critique de talent humain, formé par l’Etat et l’Armée, financé par les fonds VC israéliens et étrangers, et qui nécessite une réflexion holistique en termes de culture, d’éducation, de recherche universitaire, de système fiscal, de conditions de marché, de droit de la propriété intellectuel etc… Peu importe les pépites ou les technologies. L’important c’est le talent, qui lui doit rester sur place et qui pourra permettre de réagir face à une nouvelle menace, dans un environnement en constante évolution. De plus, d’un point de vue économique pour les entreprises américaines, pourquoi se débarrasser du talent et faire de l’entreprise une coquille vide ? Et pourquoi le remplacer par du talent de la Silicon Valley qui est bien plus cher qu’en Israël à qualité équivalente ? Enfin, il y a la volonté de transformer ce qui est initialement un défi, celui de la menace cyber, par une opportunité : celle de fabriquer un écosystème qui va donner naissance à une industrie locale. Ou comment transformer le plomb de l’agression en or de la conquête commerciale. Pour cela, il faut oublier toute attitude de défense à tout prix, accepter une certaine prise de risque et croire en sa capacité à s’adapter et surmonter le risque. C’est dans l’esprit du pays, qui de toute façon n’a jamais eu d’autre choix que de s’adapter pour survivre.

Israël est-elle devenue le Cyber Lab des Etats-Unis ?

Guy-philippe : Israël est devenu l’un des Cyber Labs des Etats-Unis qui ont, en tant que tels, des capacités évidemment considérables. Mais, tant du point de vue civil que militaire, il est clair qu’Israël est un partenaire très privilégié pour la recherche et le développement – peut-être même plus, à certains égards, que certains autres partenaires historiques des Etats-Unis. Au niveau militaire, on peut reprendre l’exemple de Stuxnet, évoqué plus haut avec « Olympic Games », comme un cas de coopération israélo-américaine très avancé, dans le cadre de technologies de pointe, quasi expérimentales. Ce type de coopération, sur des sujets aussi sensibles, liée au renseignement, avec des technologies aussi nouvelles, sans aucun débouché militaire en termes de vente de système d’armes, est suffisamment rare dans l’histoire de la coopération militaire pour être souligné. Au niveau civil, il y a également l’ensemble des capitaux « venture capital » d’origine américaine qui vont désormais s’investir dans les startups de cybersécurité, ou venir s’injecter dans le capital de sociétés cotées sur les marchés US, tel que le Nasdaq. A cela s’ajoute aussi les nombreux centres de R&D – plus de 250, où d’ailleurs la cybersécurité est l’un des axes de recherche (Par exemple le centre d’excellence d’EMC à Beersheva).

Ram : Oui, mais on peut dire aussi qu’Israël est devenu un « Cyber Lab » pour un nombre bien plus large de pays autres que les Etats-Unis !

Israël a-t-elle une vision objective des « méchants » dans le cyberespace ?

Ram: Israël est constamment occupée à identifier des adversaires potentiels et à réfléchir où investir ses efforts par rapport à ces risques. Différentes responsabilités sont attribuées à différentes organisations. L’armée est essentiellement en charge de la menace qui vient de Syrie ou du Liban. Les services de renseignement extérieurs, tels que le Mossad, seront plus orientés vers des menaces comme l’Iran, ou plus lointaines. Les services de renseignement intérieurs sont focalisés sur les menaces cyber capables de mettre en danger le système démocratique ou sur les questions de contre-espionnage. Il y a en outre une évaluation constante de la menace, qui vient d’acteurs tels que la Chine, la Corée du Nord ou l’Iran, de façon à développer les réponses cyber les plus pertinentes face à ces « cyber adversaires » potentiels.

Guy-philippe : Israël, pays du bloc occidental, partage avec tous ses alliés une perspective commune sur la menace d’un point de vue géopolitique. Mais, comme pour tous les autres pays alliés, il y a bien sûr des nuances propres à sa situation ainsi qu’à la région du Moyen-Orient. L’Iran joue ici un rôle particulier en termes de menaces, comme cela est de toute façon déjà le cas au niveau conventionnel. Les terrains d’actions de l’Iran, afin de dégrader les positions de l’adversaire israélien, sont multiples – et incluent par exemple des opérations d’influence sur les réseaux sociaux américains afin d’attiser la haine contre Israël. L’Iran a également réussi à obtenir une réaction du Pakistan, fin 2016, face à une histoire fausse diffusée en ligne évoquant une menace nucléaire d’Israël si le Pakistan envoyait des troupes en Syrie[iv]. La Russie, qui pourtant entretient des relations plutôt bonnes avec Israël eu égard à la situation syrienne, est également soupçonnée de tenter de s’immiscer dans le débat électoral en vue des élections parlementaires d’avril en Israël et peut-être de vouloir pratiquer le type de campagne de désinformation en ligne qui a été vue dans de nombreux autres pays occidentaux[v].

En quoi est-ce un art de se défendre contre les menaces du cybermonde ?

Ram : Il y a dans les questions de cyberdéfense la nécessité de développer un savoir-faire implicite, un « art », difficilement communicable, au fur et à mesure de l’apprentissage de la conflictualité dans le cyberespace. Ce savoir-faire doit aussi prendre en compte de nombreux éléments non-techniques : le coût de l’action à mettre en relation avec l’impact économique si aucune action de remédiation n’est prise, dans le cadre d’une approche de gestion du risque d’entreprise ; mais aussi tous les éléments managériaux souvent bien plus importants que les aspects techniques. La capacité à réagir dans cette complexité humaine et financière, dans un environnement toujours dynamique, est caractéristique d’un savoir-faire et donc d’un art, pas d’une science exacte.

Guy-philippe : Ram, qui avait déjà exploré cette thématique lors de son intervention au salon Trustech à Cannes, a parfaitement raison de parler, à date, « d’art du Cyber ». On pourrait rajouter qu’il y a aussi une dimension particulière et fondamental à cet environnement en perpétuelle évolution, qui l’empêche de se transformer en « science » : ce domaine est en fait organisé selon la dialectique conflictuelle de l’attaque et de la défense. Il n’y a pas de lois inamovibles, mais une dynamique stratégique où chaque action de l’un sollicite une réaction de son adversaire. La lutte dans le cyberespace est donc à l’image d’autres univers conflictuels : par exemple, on ne parle pas de science de la guerre mais d’art de la guerre. Et comme tout l’art de la guerre repose sur la duperie, pour reprendre Sun Tzu, il serait illusoire de pouvoir proposer des tactiques observables invariablement gagnantes, puisque la surprise est l’une des clés de la victoire. Mettre en avant une méthode en particulier et la systématiser, ce serait en réalité se créer une vulnérabilité. Il s’agit là d’un enseignement qui devrait être bien connu en France : l’évidence d’une ligne Maginot est la pire des défenses. Par définition, l’ennemi l’évitera et attaquera ailleurs.

Quel pourrait être l’apport d’Israël dans une police du cybermonde ?

Ram: L’apport d’Israël? La technologie, la connaissance et puis aussi, c’est important à souligner, un « leadership intellectuel » en matière d’approche. Lorsqu’on parle de « risques cyber », on parle en fait de risques qui viennent d’un acteur malveillant, de quelqu’un. Or, beaucoup de gens en Occident ne sont pas ou plus habitués à cette approche conflictuelle avec un antagoniste. L’état d’esprit en Israël, influencé par l’hostilité contre le pays, matérialisé par des guerres ou des attentats terroristes, est par contre très marqué par cette approche conflictuelle face à un adversaire. La technologie développée en Israël est influencée par cette compréhension de ce que sont les menaces cyber auxquelles nous faisons face.

Guy-philippe : Israël joue d’ors et déjà un rôle important dans la réduction du risque cyber grâce au développement de son incroyable écosystème de startups dans la cybersécurité. Il y a aujourd’hui 450 startups actives dans la cybersécurité – trois fois plus qu’en 2011 – pour un montant d’environ 1,2 milliard d’USD levés en 2018, soit 20% des investissements totaux mondiaux. L’apport est ici évident : c’est celui d’une innovation constante au service de la sécurisation du réseau mondial. Israël, agissant avec ses principaux alliés, permet également de repousser plus loin la démonstration technique de ce que le domaine cyber permet de faire. C’était déjà le cas avec Stuxnet – et on peut dire que l’efficacité de l’action, ainsi que son effet dissuasif, ont pu être des facteurs permettant aux grandes puissances occidentales de contraindre l’Iran à négocier l’accord sur le nucléaire, quand il s’agissait de leur objectif commun. Je dirais également qu’Israël offre un modèle de développement que les autres forces cyber du monde occidental devraient observer et comprendre : celui d’un focus, non pas sur les technologies ou les pépites nationales, mais sur l’écosystème, c’est-à-dire sur la concentration de talent humain. Il y a là une compréhension importante de ce qu’est le cyber : non pas seulement une lutte technologique, mais d’abord et avant tout un affrontement intellectuel entre attaquant et défenseurs humains. Passer à côté de cette dimension et de la compréhension d’un écosystème favorisant ce talent, c’est tout simplement se tromper de bataille et risquer la défaite stratégique.

Y a-t’il en Israël comme en France un problème de ressources humaines en cybersécurité ?

Guy-philippe : On retrouve en Israël, dans les industries civiles de la cybersécurité, les mêmes problèmes de recrutement et de rétention que l’on voit dans les autres pays occidentaux, probablement pour les mêmes raisons, en particulier sur les sujets de diversité qui pourraient combler les déficits. Ces problèmes sont en effet souvent liés à des noyaux fondateurs, souvent très masculins, qui vont naturellement favoriser la culture d’un entre-soi masculin qui ne permet pas d’attirer le talent féminin, bien au contraire. Il s’agit là d’un problème au niveau civil car, au niveau militaire, Israël a réussi à intégrer les femmes à l’effectif cyber de l’armée. Ainsi, dans l’unité d’élite 8-200 dédiée au renseignement d’origine électronique (« Signal Intelligence »), plus de 55% des effectifs sont aujourd’hui féminins et les équipes mixtes sont la norme[vi]…

*Ram Levi est le dirigeant de la société de conseil Konfidas, spécialisée dans la cyberdéfense. Ancien de l’unité d’élite informatique « Mamran » de l’IDF (Armée de défense d’Israël), conseiller sur les questions de cybersécurité pour le Conseil National de Recherche et Développement et membre du comité national pour la recherche sur la cybersécurité, il a été, entre autres, l’ancien Secrétaire de la Taskforce gouvernementale sur la Cyberdéfense d’Israël qui a permis la création du NCB (National Cyber Bureau) en 2011.

**Guy-philippe Goldstein est professeur à l’Ecole de Guerre Economique à Paris, contributeur au journal académique de l’INSS (Institute for National Security Studies) à Tel-Aviv, Advisor sur les questions de cyberdéfense pour le cabinet PwC ainsi que pour le fond de capital risque ExponCapital. Son roman, « Babel Minute Zéro », qui décrit un scénario de cyber-conflit, a été publié en France puis en Israël en 2010, où il a acquit une certaine audience dans les milieux de la cyberdéfense.

Voir https://www.washingtonpost.com/world/national-security/stuxnet-was-work-of-us-and-israeli-experts-officials-say/2012/06/01/gJQAlnEy6U_story.html?utm_term=.cee155e1f246

https://www.calcalistech.com/ctech/articles/0,7340,L-3730783,00.html

https://www.usinenouvelle.com/article/les-start-up-francaises-de-la-cybersecurite-innovantes-mais-pas-disruptives.N743169

http://www.inss.org.il/publication/irans-cyber-influence-campaign-united-states-implications-israels-security/?utm_source=activetrail&utm_medium=email&utm_campaign=INSS+Insight+No.+1112

https://www.abc.net.au/news/2019-01-10/israel-says-it-can-foil-foreign-election-meddling-amid-scare/10703942

https://www.theregister.co.uk/2018/04/18/israeli_unit_8200_diversity/

Crédits photos Ram Levi et Guy-philippe Goldstein